Browser AI e sicurezza sono entrati in rotta di collisione, e i numeri raccontano una storia che non lascia molto spazio all’ottimismo. Nel 2026 OWASP ha piazzato la prompt injection al primo posto tra le minacce ai sistemi di Intelligenza Artificiale, e non si tratta di allarmismo. Google ha registrato un aumento del 32% dei contenuti malevoli individuati tra novembre 2025 e febbraio 2026, spulciando gli archivi pubblici del web. Il punto è che questa tecnica non si comporta come i vecchi attacchi informatici. Non va a caccia di falle nel codice, gioca invece con il linguaggio naturale che il modello legge e interpreta. E con gli agenti AI ormai piazzati dentro i browser, basta un testo nascosto in una pagina qualunque per far deragliare il comportamento dell’intero sistema.
Quando il browser non capisce chi comanda
I browser agentici di ultima generazione fanno cose che fino a poco tempo fa sembravano fantascienza. Leggono pagine, riassumono contenuti, compilano moduli al posto dell’utente e navigano in autonomia. Fin qui tutto bene, se non fosse per un difetto di fabbrica piuttosto scomodo. Il modello non riesce sempre a distinguere tra un’informazione innocua e un’istruzione malevola infilata di nascosto nel testo.
Un caso che ha fatto scuola arriva dal team di sicurezza di Brave, che ha messo sotto esame Comet di Perplexity. Qui qualcuno aveva nascosto delle istruzioni usando il vecchio trucco del testo bianco su sfondo bianco, invisibile all’occhio umano ma perfettamente leggibile per la macchina. Il risultato è stato inquietante. L’agente ha recuperato codici monouso dalla posta elettronica ed è arrivato a bussare a portali bancari, il tutto scatenato da una banalissima richiesta di riassumere una pagina.
Injection diretta e indiretta, due bestie diverse
Conviene fare una distinzione, perché non tutte le injection sono uguali. Quella diretta è l’utente stesso che la scrive di proposito, magari per aggirare i paletti del modello. La versione indiretta è molto più subdola, perché nasconde le istruzioni dentro contenuti esterni come pagine web, PDF o email. In questo caso la vittima non vede mai l’attacco, non ne ha la minima percezione.
C’è un esempio che vale più di mille spiegazioni, si chiama EchoLeak. È stato scoperto a giugno 2025 dentro Microsoft 365 Copilot, con un punteggio di gravità CVSS di 9,3, roba seria insomma. Bastava un’email costruita ad arte, con dentro istruzioni nascoste che si attivavano nel momento esatto in cui il sistema veniva interrogato per riassumere la posta in arrivo. Secondo Unit 42, la divisione di ricerca di Palo Alto Networks, i primi attacchi indiretti su vasta scala visti in situazioni reali risalgono alla fine del 2025. Comprendevano tentativi di aggirare i controlli sugli annunci pubblicitari e di far uscire allo scoperto i prompt di sistema su piattaforme commerciali già in funzione.
Come difendersi e cosa aspettarsi
Le contromisure che funzionano davvero puntano tutte nella stessa direzione, cioè tenere ben separati i dati inaffidabili dalle istruzioni di sistema. In pratica si isolano i contenuti presi dal web in ambienti che il modello non può eseguire direttamente, come mettere il materiale sospetto dietro un vetro blindato.
I ricercatori del team Forcepoint mettono in chiaro una cosa importante. Il rischio cresce insieme all’autonomia che si concede all’agente. Un browser che sa solo riassumere resta un giocattolo abbastanza innocuo, ma un sistema in grado di spedire email, lanciare comandi o gestire pagamenti diventa un bersaglio che fa gola. Anche Anthropic è scesa in campo con linee guida dedicate alla mitigazione dei rischi da prompt injection nella navigazione assistita. Il messaggio è che la validazione dinamica delle istruzioni, quella che va oltre le semplici regole statiche, è ormai un requisito indispensabile per i browser agentici di nuova generazione.